Bastano
50 mila dollari per acquistare sul Dark Web un database con i dati su circa
2,5 milioni di clienti di ho. Mobile, l'operatore mobile low-cost che fa capo a Vodafone Italia. Non è scontato, ma è possibile che questi dati siano sufficienti a mettere in atto attacchi di
SIM swapping. Ossia associare il numero telefonico di una SIM coinvolta ad un'altra SIM, fisicamente nelle mani di qualche criminale informatico.
Questa possibilità esiste perché, come
conferma anche ho, il database sottratto comprende numerose informazioni.
Dati anagrafici personali dei clienti (nome, cognome, numero di telefono, codice fiscale, email, data e luogo di nascita, nazionalità e indirizzo) e
dati tecnici della SIM. Tra cui l'Integrated Circuit Card Identification Number (ICCID). Insieme, queste informazioni possono teoricamente abilitare azioni di
SIM swapping.
Peraltro, ho. Mobile indica che "
non sono stati in alcun modo sottratti dati relativi al traffico (telefonate, SMS, attività web, etc.) né dati bancari o relativi a qualsiasi sistema di pagamento dei propri clienti". Quindi un livello
più semplice di attacchi cyber è evitato. Nel dubbio, comunque, gli utenti ho possono richiedere la
sostituzione gratuita della loro SIM. Anche se non hanno ricevuto una segnalazione specifica, da parte dell'operatore, del loro coinvolgimento nel data leak.
Il data leak è stato segnalato da Bank Security già
lo scorso 28 dicembre. La conferma ufficiale, dopo alcune prime anticipazioni che hanno minimizzato l'accaduto, è dello scorso
lunedì.
Il SIM swapping non è una operazione banale e richiede una buona dose di dati (che però ci sono, nel data leak di ho) e anche
una buona dose di social engineering per convincere un operatore a "spostare" un numero da una SIM lecita a una non lecita. Per questo ho appare ritenere il rischio di SIM swapping abbastanza limitato. Spiega infatti che "
Serve un documento di identità e una denuncia in caso di furto o smarrimento. Non è quindi fattibile utilizzando solo i seriali".
Per ho, oltretutto, la sostituzione della SIM si può fare
solo in presenza e non da remoto. È una sicurezza in più. Ma ho. Mobile non esclude del tutto la possibilità di frodi. Per questo tra l'altro indica di aver "
attivato ulteriori misure per individuare eventuali frodatori all’interno dei punti vendita in fase di sostituzione SIM".
La sostituzione gratuita della SIM è comunque una strada consigliabile per tutti. Anche se molto basso, il rischio di SIM swapping
va comunque evitato. Per un attaccante, avere i dati personali di un bersaglio ed anche controllare il suo numero telefonico apre la strada a facili violazioni dei suoi account. Compresi, e soprattutto, quelli di home banking.